Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: /var/log/nginx
On 15.12.2010 2:37, Maxim Dounin wrote:
Проблемы же PHP нужно фиксить в рамках PHP.
но почему же разработчики httpd так не думают?
на каталог /var/log/httpd права root:root 0700
Не надо на разработчиков Apache возводить напраслину, им своих
проблем хватает. Логи по умолчанию живут в
/usr/local/(apache|apache2)/logs, каталог создаётся с umask 022.
да, не сами лично разработчики Apache,
а майнтейнеры пакета httpd в Fedora/RHEL/CentOS
там права доступа root:root 0700 /var/log/httpd
причина почему они так делают очевидна, чтобы защититься
от эскалации "PHP Local File Include Vulnerability"
до уровня "Remote Code Execution Vulnerability"
А почему параноики ставят минимальные права, с которыми вообще
способна работать программа, на всё, до чего дотянутся - для меня
загадка. Видимо, потому что параноики.
это называется "Principle of least privilege".
например, ничем и никем не ограниченный root
в классических UNIX системах привел к большому
количеству проблем с security, так что пришлось
потом изобретать системы Mandatory access control
и Role-based access control, в частности, SELinux.
Как именно и куда именно пойдёт вся их "безопасность"
> из-за того что администратор в результате будет вынужден
> практически всегда быть рутом - видимо отдельный,
> не рассматриваемый вопрос.
для административных задач необходимо иметь права root`а.
для того, чтобы анализировать логи - достаточно быть членом
специальной группы www-logs, и тогда будут доступны на чтение
логи nginx, если на /var/log/nginx права доступа nginx:www-logs 0550
в этом случае все решается легко и просто,
даже в рамках Traditional Unix permissions
--
Best regards,
Gena
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru
| 
